问题描述
我做了一个 django web 应用程序,用户可以在其中输入一些数据。我已经创建了一个超级用户,作为应用程序的管理员,我可以看到用户输入的数据,这对于名称来说是很好的,而不是敏感数据,但我不希望能够看到他们的敏感数据,例如健康数据。>
我使用了 encrypt 中的 django_cryptography.fields 模块,如下所示:
health_data = encrypt(models.IntegerField(default=140))
我发现如果我从外部脚本或简单的 DBbrowser 查看数据库,它运行良好,因为我看不到敏感数据。但我知道这在 django 管理中是无缝的:在 django 管理页面中,它在呈现之前进行解密。
所以我对加密数据没意见,这是额外的安全,但这不是我的第一个目标。我想要超级用户,但我希望我不能看到他们的敏感数据。你有什么想法 ?感谢您抽出时间阅读。
解决方法
按照here的建议,我更改了我的管理代码:
from django.contrib import admin
from .models import MyModel
# Register your models here.
admin.site.register(MyModel)
为此:
@admin.register(MyModel)
class MyModelAdmin(admin.ModelAdmin):
# avoid admin can see the sensitive data in admin page
fields = ("non_sensitive_field1","non_sensitive_field2",...,)
通过这种方式,我自定义了管理页面中呈现的字段。我再也看不到管理页面中用户的敏感数据,这是我想要的行为。